L’Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a una assessoria amb 3.000 eurosper l’enviament d’un e-mail a un client que contenia, per error, documentació adjunta d’un altre client de l’esmentada assessoria.
Aquest fet ha infringit els articles 5.1.f i 32.1 de l’RGPD, “Principi d’integritat i confidencialitat” i “Seguretat del tractament”, respectivament. L’arxiu adjunto contenia dades personals d’un tercer al qual el destinatari de l’e-mail va tenir accés, produint-se així una vulneració de la confidencialitat de les dades, en aquest cas degut a un error humà.
Qualsevol persona pot cometre un error així, per aquest motiu en Edorteam sempre insistim que els arxius adjunts que continguin dades personals han d’enviar-se prèviament xifrats. Així ho obliga l’article 32.1 del RGPD:
“Art. 32.1 Tenint en compte l’estat de la tècnica, els costos d’aplicació, i la naturalesa, l’abast, el context i els fins del tractament, així com riscos de probabilitat i gravetat variables per als drets i llibertats de les persones físiques, el responsable i l’encarregat del tractament aplicaran mesures tècniques i organitzatives apropiades per a garantir un nivell de seguretat adequat al risc, que en el seu cas inclogui, entre altres:
a) la seudonimizatció i el xifrat de dades personals
…”
De fet, l’article 34 del RGPD, “Comunicació d’una violació de la seguretat de les dades personals a l’interessat”, eximeix de l’obligació de comunicar una bretxa de seguretat si la informació estava xifrada.
Aquest simple gest preventiu hauria evitat la infracció, perquè encara que ens equivoquem de destinatari o d’arxiu adjunt, la contrasenya no es correspondria amb la que coneixia el receptor del missatge, i per tant s’hauria evitat vulnerar la confidencialitat de les dades.
ET Encrypt és un pràctic programari de xifratge segur AES 256 amb el qual pots xifrar qualsevol tipus de fitxer en un parell de clics: còmode, ràpid i segur.
Xifra preventivament els adjunts dels teus e-mails
Amb ET Encrypt xifraràs fàcilment tot tipus d’arxius amb un algorisme pràcticament impenetrable, també per a enviar informació xifrada per e-mail.
3.000 euros de sanció, una xifra important per a una petita empresa
Arran de la denúncia, l’AEPD va requerir a l’assessoria tota la informació sobre aquest tema que pogués aportar per part seva, així com les possibles causes que motivessin l’incident i les mesures que s’hagin adoptat per a evitar que una cosa així tornés a succeir.
No obstant això, tal com s’explica en la resolució, l’assessoria no va respondre de cap forma als requeriments de l’AEPD, una cosa incomprensible, ja que l’AEPD ha considerat com a agreujant la no cooperació i falta de diligència.
D’altra banda, s’han tingut en compte alguns factors com a atenuants:
- Només s’ha vist afectada un persona per l’incident.
- L’assessoria denunciada és una petita empresa.
- El tractament de dades que realitza l’assessoria és d’abast local.
L’AEPD resol el cas multant a l’empresa amb 2.000 euros per infracció de l’article 5.1.f del RGPD, i 1.000 euros per infracció de l’article 32.1 del RGPD.
0 Comments